2020 и 2021 года оказались богаты на события, связанные с утечками данных. «Экономика рунета 2020-2021», результаты которого предоставила Российская ассоциация электронных коммуникаций (РАЭК) в рамках 25-го российского интернет-форума «РИФ 2021». По данным РАЭК, число киберпреступлений в России за 2020 год выросло почти на 94,6% по сравнению с 2019 годом, а за последние 5 лет количество таких преступлений увеличилось в 11 раз. По мнению аналитиков, больше всех от этого пострадали:
- Hi-Tech-индустрия;
- финансовая сфера;
- госсектор.
Главной целью злоумышленников оказались данные, а ущерб, нанесенный ими бизнесу превысил 3 млрд рублей. В результате утечек в открытом доступе оказалось порядка 100 млн записей персональных данных и платежной информации россиян.
2020: громкие случаи утечек
Среди частых сообщений об украденных базах данных можно выделить несколько самых заметных инцидентов.
- Из громких случаев можно отметить утечку персональных данных пользователей Avito и «Юлы». Тогда в свободном доступе оказались данные примерно 600 тыс. пользователей двух сервисов.
- В июле 2020 года злоумышленники выставили на продажу данные 5 млн учащихся и сотрудников онлайн-школы английского языка Skyeng.
- Позже, в декабре того же года, оперштаб Москвы объявил об утечке данных примерно 300 тыс. москвичей, переболевших COVID-19.
Такие сведения — отличная база для фишинга (преступление с целью получить конфиденциальные данные) и мошеннических звонков. По данным РАЭК за 2002 год количество таких правонарушений также выросло более чем на 73,4%.
Что касается платежных данных, в августе ЦБ РФ и VISA объявили об утечке персональных данных 55 тыс. клиентов банков, использующих сервис Joom. Личные данные, включающие в себя также номера банковских карт и их сроки действия, клиентов Сбербанка, Россельхозбанка, Тинькофф банка, Райффайзенбанка и других кредитных организаций, можно было скачать в Telegram-каналах и в даркнете. Такую информацию киберпреступники могут использовать для обналичивания средств на площадках, не использующих протокол 3-D Secure (например, iHerb и Aliexpress).
2021: утечки продолжаются
2021 год, только начавшись, «порадовал» нас новыми инцидентами. В феврале Яндекс объявил о внутренней утечке почтовых адресов пользователей. Системный администратор сервиса скомпрометировал 4887 почтовых ящиков. А уже в апреле более 100 тыс. записей с данными клиентов, подавших заявки на кредит в банке «Дом.РФ», выставили на продажу в даркнете.
Печальную тенденцию не могли не заметить и наши специалисты по тестированию на проникновение. С начала 2021 года специалисты выявили более 5 случаев утечек персональных данных физических лиц у крупных организаций. Так в ходе работы над одним из проектов был получен доступ к базе, содержащей в том числе паспортные данные, платежную информацию по кредитам и пароли. По приблизительным оценкам в базе содержалось информация более чем о 200 тыс. клиентов и их данные. В другом кейсе специалистам удалось получить доступ к брокерским счетам через личный кабинет пользователя.
Судя по трендам последних лет, количество киберпреступлений будет только расти. Если компании не будут более ответственно относиться к информационной безопасности на всех уровнях бизнеса, то персональные данные их клиентов тоже окажутся на первых страницах «черного рынка».
